計算機信息網絡安全防御特征研究

姚宏林++韓偉杰++吳忠望

摘 要：網絡防御特征由網絡安全防御體系所決定，它是構建網絡安全防護技術體系架構各要素的集合。該文設計了信息網絡安全防御體系模型，并對防御體系的層次要素特征進行了分析，能夠為科學制定計算機信息網絡防御策略、發展安全防護技術體系提供理論支撐。

關鍵詞：信息網絡安全 網絡防御特征 主機防御特征 應用防御特征 數據防御特征

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-098X（2014）07（c）-0045-02

隨著計算機和網絡技術的不斷發展，計算機信息網絡已在國家機關、企事業單位、國防軍事等多個領域廣泛應用，逐漸滲入到人們的生活中并成為相互溝通的重要手段。然而計算機信息網絡存在網絡環境開放性、網絡操作系統漏洞、網絡資源共享性、網絡系統設計缺陷、黑客惡意攻擊等安全隱患，計算機信息網絡安全防御問題重要性變得尤為重要[1-2]。本文基于用戶網絡活動劃分防御層，建立起信息網絡安全防御的體系模型，并系統分析各層次的網絡防御特征，為建立網絡安全防護體系提供了理論支撐。

1 信息網絡安全防御體系設計

構建信息網絡安全防御體系，其目標就是要維護用戶網絡活動的安全性[4]。根據用戶網絡活動的層次，可以將網絡防御劃分為網絡防御層、主機防御層、應用防御層和數據防御層等四個方面，在每個防御層模型中，又包括防御功能和防御技術兩類劃分方法，防御功能分布按照不同防御層特點，采用根據層次、軟件功能等類別進行劃分，如圖1所示。

1.1 網絡防御層

網絡防御層主要針對信息網絡安全防御體系中的網絡邊界進行防護，按照防護層面的不同，又可分為應用層、傳輸層和網絡層的分層防御功能。防御技術則包括協議分析、模式匹配和包過濾等基本技術。

1.2 主機防御層

主機防御層的防護功能，主要通過主機入侵防御、病毒查殺和防火墻防護等三個層面，并通過各自對應軟件實現。主要的防護技術則包括入侵檢測、安全審計、訪問控制、主動行為防御、特征碼查殺和軟件防火墻保護等。

1.3 應用防御層

應用防御層的功能主要防范惡意程序植入和篡改應用軟件，為此，技術上可通過漏洞利用防護技術和數字簽名驗證技術來實現。

1.4 數據防御層

數據防御層的防護功能歸結到一點為防范非授權用戶的非法訪問，包括對磁盤分區中文件的訪問，以及對數據庫文件的訪問。防御技術主要包括加密技術、完整性校驗技術和備份恢復技術等。

2 網絡安全防御特征

2.1 網絡防御特征

網絡層面可以對通過網絡傳輸的數據包，按照分層的原則進行防御，具體包括網絡層、傳輸層、應用層的分層防御。具體的防御技術包括：包過濾技術、模式匹配技術、協議分析技術等。

網絡安全層面從本質上來講就是網絡上的信息安全，其不斷發展旨在采取有效的安全措施保護網絡信息不被破壞、更改和泄露，保護聯網計算機系統免受侵擾[5]。網絡上的信息傳播方式的多樣性、廣泛性和難追溯性，使得網絡遭受攻擊的可能性很大，因此，必須采取一定的安全措施來防止這些惡意攻擊。同時，因為網絡信息的安全會在很大程度上影響受保護主機和應用系統的安全，故網絡安全是信息網絡安全防御體系中最重要的組成部分，只有網絡安全得到很好的建設，主機和應用安全的建設才能在良好的環境中實施。

2.2 主機防御特征

主機層面主要針對操作系統平臺進行安全防御，在操作系統平臺上通過防火墻軟件、殺毒軟件、主動防御軟件等實現防御策略。采用的主機防護技術包括：軟件防火墻防護、病毒特征碼查殺、主動行為防御、訪問控制、安全審計等。

主機（包括終端和服務器）是信息系統的重要組成部分，承擔著信息的存儲和處理工作[6]。由于主機是信息泄露的源頭，也是各類攻擊的最終目標，因此，主機的安全關系到整個信息系統中信息的安全，主機安全建設是信息系統安全建設的重要內容。

主機層面安全主要涉及操作系統安全和數據庫安全，通常是由操作系統自身安全配置、相關安全軟件和第三方安全設備來實現的。目前，運行在主機上的主流操作系統有Windows、Linux、Sun Solaris、IBM AIX和HP-UX等。隨著網絡技術的不斷發展和網上應用的不斷增多，這些主機上的問題也逐漸暴露出來，一些網絡病毒和木馬等也隨之出現，破壞主機上的數據信息。一般單位中如果將安裝這些系統的主機作為服務器的話，上面可能會保存一些單位或部門的關鍵信息，這就對主機層面安全提出了要求。

2.3 應用防御特征

應用層面主要防范功能用于防御應用程序被惡意程序篡改，及利用應用軟件漏洞進行惡意程序的植入。應用層面的安全防御技術可通過數字簽名驗證技術、漏洞利用防范技術來實現。

應用層面是信息系統最終得以使用的工具，只有通過應用系統用戶才能對數據和信息進行各種各樣的操作，繼網絡和主機系統的安全防護之后，應用安全成為信息系統整體防御的又一道防線。應用安全是指信息在應用過程中的安全，也就是信息的使用安全。應用層面的安全目的是要保證信息用戶的真實性，信息數據的機密性、完整性、可用性，以及信息用戶和信息數據的可審性，以對抗身份假冒、信息竊取、數據篡改、越權訪問和事后否認等安全威脅。這就需要對不同的應用安全漏洞進行檢測，采取相應的安全措施降低應用的安全風險。對信息系統進行應用安全方面的設計，從總體上來說，是為了確保在軟件大規模使用、數量和復雜度增長的前提下，能夠及時的發現和修正系統中潛在的安全漏洞，并且能夠應對和解決這些漏洞，以降低應用系統的安全風險。應用層面側重于設計開發出來的系統是否安全。雖然這些安全目標多數都類似于網絡安全和主機安全中的內容，但是實現目標的方式有很大不同，應用系統更強調在開發出來的系統中解決這些問題。

2.4 數據防御特征

數據層面的防范主要是防止非授權用戶對數據的非法訪問。主要的防御措施是通過加密和訪問控制實現，控制對數據的訪問用戶和訪問權限，并且在數據存儲過程中使用加密技術來保護數據的安全。主要的措施包括三個方面：數據完整性、數據保密性與數據的備份和恢復。

數據層面的安全是計算機信息安全系統的最終目的和核心目標[7]。圍繞著計算機系統所采取的許多安全保護措施最終都是為了保證系統中數據在應用、存儲、傳輸和處理等過程中的安全性，以實現數據的機密性、完整性、可控性和不可否認性，并可以進行數據備份和恢復。

3 結語

隨著計算機信息網絡的不斷發展，新的網絡安全隱患會不斷涌現。建立相應的信息網絡安全防御體系模型，研究各層次的網絡防御特征，能夠從本質上明確安全防御體系建設的目的和目標，為科學制定計算機信息網絡防御策略、發展針對性安全防護技術提供理論支撐。

參考文獻

[1] 張昱.對計算機網絡技術安全與網絡防御的分析[J].廣東科技，2011（5）：51-52.

[2] 楊育紅.淺議網絡信息安全防御體系建設[J].計算機安全，2011（10）：73-75.

[3] 王琪.計算機網絡安全技術現狀研究[J].計算機安全，2013（7）：44-49.

[4] 汪澎萌，張碩，汪兆銀.計算機網絡安全體系研究[J].信息安全，2012（2）：38-40.

[5] 杜蕓.網絡安全體系及其構建研究[J]. 軟件導刊，2013，12（5）：137-139.

[6] 林穎.基于可變信任機制的主機防御體系[J].赤峰學院學報：自然科學版， 2010（8）：29-31.

[7] 陸中威，高廣濤.網絡數據防御模型設計與研究[J].中國新通信，2013， 15（21）：94-94.